WordPress repara falha que afetou mais de 700 mil sites

O WordPress consertou uma falha generalizada em mais de 700 mil sites. A vulnerabilidade apresentada aconteceu no plugin Ninja Forms, segundo comunicado publicado na última quinta-feira (16). Especialistas do Wordfence detectaram, recentemente, a falha no sistema.

De acordo com o relatório, o erro possibilita a execução do código arbitrário na página afetada, além da exclusão de arquivos por parte dos invasores, caso a exploração do bug tenha êxito. Existe chances de que ele explore de forma ativa distintos tipos de ataques cibernéticos.

O Ninja Forms atua em mais de 1 milhão de sites, cujo qual abre espaço para a adição de formulários de contato nas páginas. A aba foi vista no recurso Merge Tags, porém a plataforma sequer ofereceu detalhes mais amplos para reduzir os abusos.

“Descobrimos uma vulnerabilidade de injeção de código que possibilitou que invasores não autenticados chamassem um número limitado de métodos em várias classes Ninja Forms, incluindo um método que não serializava o conteúdo fornecido pelo usuário, resultando em injeção de objetos”, explicaram os pesquisadores em entrevista ao site Tec Mundo.

Ainda assim, o patch de segurança com a correção para o bug não alcançou todos os sites do WordPress. A sugestão é para que os administradores de páginas analisem a situação do plugin Ninja Forms, uma vez que eles utilizem o sistema de gestão de conteúdo.

Conforme o relatório, a vulnerabilidade alcançou as versões 3.0.34.2, 3.1.10, 3.2.28, 3.3.21.4, 3.4.34.2, 3.5.8.4 e 3.6.11 do plugin, mediante a atualização imposta.